Los piratas informáticos explotan activamente la vulnerabilidad del día 0 en el complemento de WordPress para miembros definitivos

Los piratas informáticos explotan activamente una vulnerabilidad de día cero en el complemento de WordPress Ultimate Member para aumentar los privilegios: con la ayuda de este error, los atacantes piratean sitios, evitando la protección, y crear nuevas cuentas de administrador. El Miembro final El complemento está diseñado para facilitar el registro y la creación de comunidades en WordPress sitios, y actualmente cuenta con más de 200,000 instalaciones activas.

Vulnerabilidad de día 0 del complemento de WordPress para miembros definitivos

Este no es el primer caso en el que un complemento de WordPress parece contener un exploit de día 0. En particular, piratas informáticos malware usado GoTrim hackear sitios basados ​​en WP. La escala de los hackers’ El interés en piratear dichos sitios web es confirmado por el número de sitios que escanearon buscando vulnerabilidades.

La vulnerabilidad usada en estado salvaje recibió el identificador CVE-2023-3460 y una puntuación de 9.8 en la escala CVSS. La puntuación máxima es 10, para que puedas entender lo importante que es. El problema afecta a todas las versiones de Ultimate Member, incluyendo la última versión 2.6.6. Inicialmente, los desarrolladores intentaron corregir la vulnerabilidad en versiones. 2.6.3, 2.6.4, 2.6.5 y 2.6.6. Aunque, parece que la vulnerabilidad reside más profundamente. Los autores del complemento declaran que Continuar trabajando para resolver los problemas restantes. y esperamos lanzar un nuevo parche en el futuro más cercano.

Cómo funciona?

Ataques a una vulnerabilidad en Ultimate Member fueron detectados por valla de palabras especialistas, que advierten que los delincuentes utilizan un error en el formulario de registro del complemento para establecer metavalores arbitrarios para sus cuentas.

En particular, Los piratas informáticos establecen el metavalor wp_capabilities para asignarse a sí mismos el rol de administrador.. Obviamente, que les dé acceso total al recurso vulnerable. El complemento tiene una lista negra de claves que los usuarios no pueden actualizar, lo que puede aliviar el problema. No obstante, los investigadores dicen que es bastante fácil eludir esta medida de protección.

Sitios pirateados usando CVE-2023-3460 tendrá los siguientes indicadores de compromiso:

1. la aparición de nuevos registros administrativos en el sitio;
2. uso de wpenginer, wpadmins, wpengine_backup, el_brutal, segs_brutal;
3. registros que muestran que direcciones IP que se sabe que son maliciosas han accedido a la página de registro de miembros de Ultimate;
4. registros que arreglaron el acceso con 146.70.189.245, 103.187.5.128, 103.30.11.160, 103.30.11.146 y 172.70.147.176;
5. la aparición de un registro con una dirección de correo electrónico asociada a exelica.com;
6. instalación de nuevos complementos y aquellos en el sitio.

La vulnerabilidad crítica sigue sin solucionarse y es extremadamente fácil de usar.. WordFence recomienda a todos los administradores que eliminen inmediatamente el complemento Ultimate Member. Los expertos explican que ni siquiera las configuraciones de firewall específicas cubren todos los posibles escenarios de explotación.. Así que por ahora, eliminar el complemento sigue siendo la única solución posible.